Все новости от 23 мая 2001 г. Ветеран КГБ помог пролить новый свет на безопасность в вебе
Бывший руководитель подразделения шифрования КГБ и экс-директор ЦРУ обнародовали революционный, как они утверждают, способ сокрытия интернет-коммуникаций от любопытствующих и злоумышленников.
Как утверждает исполнительный директор компании Invicta Networks Виктор Шеймов (Victor Sheymov), новая система позволяет изменять IP-адреса в сети быстрее, чем один раз в секунду, маскируя их от всех, кроме авторизованных пользователей. «Мы уверены, что наша новая технология сыграет важную роль в усилении безопасности интернета и откроет новую главу в его истории», — сказал он журналистам на пресс-конференции в National Press Club.
Так называемую «Систему переменных киберкоординат» Invicta одобрила крупнейшая по доле рынка страховая компания American International Group с активами, превышающими 250 млрд $. Тай Сагалов (Ty Sagalow), главный администратор отделения AIG, занимающегося электронными бизнес-рисками, объявил, что эта страховая фирма предоставит 10%-ную скидку компаниям, использующим продукт Invicta: «мы верим, что он сокращает риск наших потерь» от кибератак.
Член правления Invicta Р. Джеймс Вулси (R. James Woolsey), который был директором ЦРУ в администрации Билла Клинтона с 1993 по 1995 гг., называет новый инструмент «выдающимся достижением мысли». «Это прямо противоположный подход, — говорит он. — Все остальные возводили заборы вокруг владений, открытых для всеобщего обозрения».
Стандартные подходы к обеспечению компьютерной безопасности опираются на шифрование и такие устройства, как брандмауэры, отфильтровывающие вызывающий подозрение трафик. Но для хакера любая сеть, защищенная таким способом, это сидящая утка, считают представители Invicta. Система этой компании превращает сеть в движущуюся мишень, непрерывно меняя ее IP-адреса. Для связи защищаемых компьютеров с центральным узлом она использует специальные карты. Клиенты могут решать, как часто менять IP-адреса, и определять приложения, доступные через сеть. По словам Шеймова, число используемых IP-адресов может измеряться миллиардами — благодаря искусственному расширению киберпространства. В конце мая Invicta планирует начать поставки платной бета-версии своей системы.
Согласно проспектам компании, Шеймов, ветеран 8-го управления КГБ, советского аналога подразделений взлома шифров Пентагона и перехвата данных Агентства национальной безопасности, бежал в США в 1980-х годах «по идеологическим мотивам». В то время он заведовал координацией работы всех шифрованных каналов связи за рубежом. В США он несколько лет работал консультантом и сотрудничал по контрактам с NSA. Из Советского Союза его переправил офицер ЦРУ Дэвид Рольф (David Rolph), который позднее руководил московским отделом под началом Вулси, а ныне является вице-президентом Invicta по международным продажам.
Шеймов сообщил репортерам, что технология прыгающих адресов Invicta выходит далеко за рамки сетевой защиты. В ближайшие месяцы будет готова другая версия, предназначенная для защиты систем электронной коммерции на базе веба. В число будущих приложений технологии входит защита государственной инфраструктуры, баз данных и dial-up коммуникаций. Компания не раскрывает стоимости системы, но Шеймов сказал, что она будет занимать «high-end» уровень диапазона цен традиционных пакетов компьютерной безопасности. По его словам, если Invicta, образованная в 1999 году, начнет приносить прибыль и покажет устойчивый рост продаж, спустя год-два она может разместить свои акции на бирже.
Деннис Штайнер (Dennis Steinauer), специалист по компьютерной защите Национального института стандартов и технологии при Министерстве торговли, подозрительно относится к любому инструменту, претендующему на то, чтобы сделать другие уровни защиты необязательными. «Возможно, это обеспечит некоторую дополнительную защиту, — сказал он. — Но, вообще-то, никогда нельзя оставлять единственный уровень защиты — особенно если технология еще не проверена».
|
|
| Qrot 23 May 2001 6:21 PM |
интересно... вроде получается так: соединился - данные получил/переслал - отсоединился - изм. адрес - и по новой адреса в пределах подсети наверное будут меняться, так что еще не все потеряно :)) |
|
| Bravo 23 May 2001 7:30 PM |
и это сломают. как 2 пальца об асфальт... |
|
| Волков 23 May 2001 8:59 PM |
Это вроде как только для защиты интрасетей, или я не правильно понял ? |
|
| AT - 220220pager.icq.com 23 May 2001 9:57 PM |
Ага - тока все эти изменения в DNS или еще где дожны идти. Да и програмку которая accept разрешает с разных IP за 15 минут можно сделать. |
|
| Dmitry - utsuts2000.com 24 May 2001 2:23 AM |
Да просто железку новую продавать хотят: "... Для связи защищаемых компьютеров с центральным узлом она использует специальные карты. Клиенты могут решать, как часто менять IP-адреса, и определять приложения, доступные через сеть.... " И на "центральном узле" - еще одну - подороже... А вот у нее-то адресок-то наверное статический :))) С ней и поговорим :)))
|
|
| AT - 220220pager.icq.com 24 May 2001 3:02 AM |
Лажа ... Если из вне они видны как один IP (а имеено так и должно быть для доступа с обычных клиентов) то все-равно что там внутри у них, ну просто с сетевого/физического уровня (карт) они мусор поднимут на транспортный (протокол). До сего времени ARP ответ был одинаков - а теперь разный, ну и что тут хорошего ???
|
|
| Chulkov - chulkovnarod.ru 24 May 2001 4:11 AM |
нихрена... я так понял, что они хотят менять внешний адрес в соответствии с определёнными правилами... мысль интересная.. но один хрен они будут ограничены либо подсетью ( пусть даже очень большой), либо набором подсетей... да и правила смены адресов должны быть где-то определены ( пусть даже они будут неким образом отдаватся клиенту... т.е. должен быть всё же один постоянный адрес для того, что бы отдать правила)... значит можно будет найти закономерность.. т.е. используя их же пример про уток можно сказать, что зная траекторию можно стрелять на упреждение... так что взлом такой системы - только вопрос времени.. + головная боль админу... |
|
| KVZ - kvzpolaris.donbass.com 24 May 2001 4:14 AM |
Это для лохов с кошельками... |
|
| Виталий - VitalyNWriteMe.com 24 May 2001 8:02 AM |
Не пойму, чем это будет отличаться от обычного IPFilter? Тем, что адреса будут динамически изменяться? Дык они и так динамически изменяются. Скорость изменения увеличилась? Ну и что это даст? Если они будут быстро менять внешний IP-адрес - они превратятся в "неуловимого Джо", ибо ни хакер, ни нормальное приложение с таким узлом связь установить не смогут. Да и список globally routable адресов, которые они могут выставить на всеобщее обозрение и из которых проводить выбор, мягко говоря, не дотягивает до "миллиардов". Все равно, ничто не защитит от "троянца" в письме с сабжем "Important information for you" ну или "Photo of Anna Cournikova" хотя бы...
|
|
| Crazy Joker - crazy_jokermail.ru 24 May 2001 9:49 AM |
Точнее сказать, от глупости и безалаберности некоторых человеческих индивидуумов не помогут никакие изощренные средства защиты. Как говорится: "Человеческая глупость дает представление о бесконечности!" Время покажет! :) |
|
| Рыбыч - rybychmail.ru 24 May 2001 9:55 AM |
На всякую хитрую ж... найдётся винт с левой резьбой... |
|
| kkk 24 May 2001 10:06 AM |
В связи существует (уже давно) обмен сообщениями (речь, код...) с помощью прыгающей частоты несущей. Идея такая: несущая изменяется по определенному,псевдослучайному, с большим циклом, закону с большой скоростью. Т.е. не слово на одной частоте, слово - на другой, а слово на нескольких десятках частот. Для обычных приемников и приемников не знающих закона прыжков, эта связь воспринимается ввиде шума эфира. Изменение IP-адресов, видимо, использует эту же идею. Только - как часто переключаются адреса и сколько их? |
|
| asd 24 May 2001 10:21 AM |
Я так понял, что большинство обсуждающих даже и не поняли, что предлагается. И это уже хорошо. При этом быстро кинулись все обхаивать. И это плохо. Пожалуй, только KKK близок к цели. Да Chulkov с летающей уткой. Только последний забыл добавить, что в летящую утку попасть на порядок сложнее, чем в сидящу.
|
|
| Black Sock 24 May 2001 10:44 AM |
... рискну предположить следующее: два хоста (точнее приклады на них) псевдослучайно из определенного диапазона перебирают адреса с огромной скоростью (гораздо чаще чем раз в секунду). Одна приклада слушает, вторая шлет запрос, как только адреса совпадают, устанавливается сеанс и происходит передача данных. Ну вот, а теперь прикинте , что это серевер и браузер... |
|
| VR 24 May 2001 11:29 AM |
Вся статья - чистая околокомпьютерная белетристика и реклама. О технической стороне можно только догадываться. Ну а сломать можно любую систему - это аксиома. Весь вопрс в стоимости взлома. После первого же удачного частного взлома (не гос. шпионского), информация (о деталях, методах, алгоритмах) станет достоянием многих. В любом случае, мы все без работы не останемся :) |
|
| На 24 May 2001 11:31 AM |
Я так понимаю, что "Шеймов, ветеран 8-го управления КГБ" который работал на административной должности, техническим специалистом не является, т.е. идейку спер в том же 8 управлении у таких же парней как вы, и решил на этом заработать. Бог ему судья, но есть вероятность и того, что в том же 8 упр.КГБ или у Пентагона сейчас есть и технология взлома.Так что на месте серьезных компаний я бы сильно подумал, перед тем как всунуть к себе в комп любую железяку или программу бывшего сотрудника стольких разведок. |
|
| dm - starkimail.ru 24 May 2001 11:35 AM |
С "заточенными" друг под друга хостами все понятно. Для этой цели дешевле трафик шифровать. Вот токо как ничего не знающий браузер загрузит страницу с такого хоста? Plug-In? Но тогда плугин тоже должен знать порядок смены ip, а занчит рано или поздно все остальные. Примерно как с DeCSS. Усложняется процедура взлома, не больше. |
|
| Lagano 24 May 2001 12:19 PM |
Насколько я понял из этой, в общем-то как обычно ламерской статьи в стиле зднет, речь идет о чем-то вроде VPN, и "бравзер" и "хост" не имеет к этому отношения. Идея может и неплохая, однако откуда они собрались высрать "миллиарды ip-адресов" на ipv4? Может речь о ipv6? Ну так этож скока ждать еще? В любом случае, никакого "супер-бупер-экстра" хай энда я здесь не вижу, за исключанием правда, немеренных расходов на регистрацию этих самых "миллиардов ip адресов" если они их найдут. P.S. думаю, что аналогия с аналоговой системой шифрования в данном случае неуместна... то есть в лучшем случае это ispired by... |
|
| rrr 24 May 2001 2:54 PM |
ККК прав. Здесь нет ничего революционно нового. В связи это называется ППРЧ. Но вот насчет безопасности в web я чего-то непонял. Каким образом они собираются взаимодействовать с DNS серверами? Насчет милиардов адрессов тоже пожалуй загнули :-) Ну а как взломать такую систему пожалуй не знаю, но как положить сервер - это не проблема. Пример из той же связи - ППРЧ давиться так: по всем известным частотам на которых прыгает сигнал выставляются помехи и все связи нет. Также и здесь DDoS по всему перечню IP на которых происходит конект :-) а ух иж не милиард это точно |
|
| Dmitrij - dmitrijmailandnews.com 24 May 2001 4:50 PM |
interesno zachem sotrudnicam specsluzhb predlagat metod dlja zashity traphica kogda oni dolzhni bit zainteresovani rovno v obratnom? mozhet sdes prisutstvuet element "trojanskogo konja"? - dopustim oni shiroko vnedrjat novuju technologiju kotoraja jakobi zashishaet dannie companij ot kiberatak, no na samom dele u nich budet algoritm kotorij pozvolit im, naoborot, besprepjatstvenno vchodit na serveri companij dlja vneglasnogo controlja ich dejatelnosti? eto tolko odin iz variantov kotorij srazu prichodit v golovu. v svete togo, chto v Evrope pitajutsja protashit zakon objazivaushij vsech ISP chranit VES traffic v techenii 7 let dlja nuzhd policii, podobnii predlozhenija zastavljaut nastorozhitsja. vidimo internet nastolko viros i okrep, chto s nim prichoditsja schitatsja dlja obespechenija bezopasnosti gosudarstv. na samom dele internet sejchas eto uzhe otdelnoe gosudarstvo (na moj vzglja samoe demokratichnoe na segodnjashnij den) i goschinovniki pitajutsja nalozhit na nego svoju volosatuju lapu :( |
|
| AT - 220220pager.icq.com 24 May 2001 9:21 PM |
Без плагина ничего он не сделает - так чего бы чего-то стандартное не юзать ??
|
|
| Maximka - justMmail.ru 25 May 2001 10:49 AM |
Да.. Информации маловато. Удивляет, что и на англоязычных серверах нет подробной информации. В принципе, может и можно всё это. Давайте пофантазируем... Но, во первых, как они будут инициировать сеанс начала связи? Да, центральный узел не прячется, а прячутся клиенты... Клиент посылает серваку закодированную информацию о начале последовательности изменения адресов... Или о самой последовательности. То есть центральный узел - это как раз сидящая утка. Более того, под этой уткой тысячи яиц. Стоит центральному узлу обDoSиться - все клиенты теряют маму. О пересылке начала последовательности. Кто мешает отловить то, что идет к центру? Так что задача сводится лишь к банальному разкодированию информации и алгоритма её применения. Алгоритм в серьезной системе должен быть открытым, так что это не проблема. Тогда всё это отличается от обычной системы шифрования лишь невозможностью (повышенной сложностью) обнаружения клиентов... Или я что-то не понимаю. Может кто добавить чего-нить конструктивного? Или может кто-то нашел первоисточники? Ах, да, все тут не прочитали про то, что миллиарды получаются "благодаря искусственному расширению киберпространства" :))))) Кто это как себе представляет? NAT, за которым еще один диапазон ipv4? :) VR: БеЛЛетристика - это художественная литература. Я ничего здесь высокохудожественного не заметил.. :) |
|
| Maximka - justMmail.ru 25 May 2001 10:58 AM |
Вот еще идея появилась: а если скрыты и сервак и клиенты. Сервак знает где в данный момент клиент. И все запросы идут от сервера. Типа раз в 5 секунд. Если клиент захотел чего-нить, сервак говорит ОК и они устанавливают соединение, в котором каждый прыгает, но знает где будет оппонент... :) Оо.. А всем клиентам знать где сервак тоже можно, в принципе... Получаем работающую схему.. Каждый клиент при установке, имеет инфу о будующих изменениях адреса сервера. Потом отлавливает прыгающего сервера и говорит, я тоже прыгаю так-то и так.. |
|
| Maximka - justMmail.ru 25 May 2001 11:00 AM |
Опять же, это только для корпоративных систем защиты информации. Но о web-браузерах ничего и не говорили... |
|
| AT - 220220pager.icq.com 27 May 2001 3:04 AM |
Клиент, Сервер - а какой такой провайдкр даст тебе кучу IP с разных сеток - а даже если и даст - то путь у всех них будет чаще всего одиноков - а значит все это изменение ничего кроме дополнительных сложностей в TCP/IP протоколе. Для частот - так там прыгание полезно - т.к. приборы побольше классом (ну вроде только GOV use only ;o) требуются чтобы несколько частот сразу отслеживать, а предложенную схему и нынешнеми средствами видно. |
|
| Григорий - designrnd.ru 1 Jun 2001 8:37 AM |
Да это очередной лохотрон в американском стиле! Просто ребята хотят сорвать капусту на тупых менеджерах фирм, которые ничего не смыслят в ИТ, но наслышались о кибератаках, подмене IP-адресов, взломе систем шифрования. Во тут самое и время для таких "революционных технологий"! :o))) P.S. Одни тупые америкосы имеют еще более тупых, но богатых америкосов...
|
|
| mypp - myppmypp.sandcastle.ru 23 Jun 2001 10:10 AM |
Технология о которой идет речь сможет применяться только на участках LAN1 шлюз WAN шлюз LAN2. За счет того что эти шлюзы знают об некотором общем правиле поведения. В любом другом случае потребуется не только standalone железки а переделанные сетевухи, ибо не один сервер такими задачами не должен заниматься на уровне OS, это повлечем за собой громадные накладные расходы. На мой взгляд система в реальной жизни будет не менее уязвима чем любая другая, ибо сама сеть позволяет делать все ;-) |
|
| sergio 24 Jul 2001 7:36 PM |
А я думаю это просто тест идеи, который проходит с помощью Ваших мыслей. |
|
|